Identità Digitale e normativa Europea: prospettive e implicazioni, tra eIDAS e NIS
La Commissione europea sta lavorando al “portafoglio europeo di identità digitale”, un nuovo regolamento che mira a migliorare il precedente eIDAS sulle firme digitali, uscito nel 2014. Il regolamento eIDAS, infatti, ha accusato alcuni “limiti”, emersi nel corso del tempo, e il nuovo portafoglio europeo di identità digitale ha l’obiettivo di superarli, introducendo nuovi elementi orientati a favorire una maggiore protezione dei dati personali, a potenziare i livelli di sicurezza informatica e, più in generale, a tutelare la proprietà dei dati. L’obiettivo è quello di garantire un accesso sicuro ai servizi pubblici e alle transazioni online in Europa, per tutti i cittadini, i residenti e le imprese dell’Unione. Vediamo come si sta evolvendo la situazione.
I servizi fiduciari e il regolamento eIDAS 2
Il regolamento eIDAS2 prevede l’emissione di un portafoglio digitale basato su standard tecnici comuni: questo è un elemento centrale, finalizzato ad evitare la frammentazione funzionale e a garantire un livello di protezione elevato. Il portafoglio digitale consentirebbe all’utente di usare firme digitali e sigilli elettronici qualificati (strumenti di sottoscrizione correlati a strumenti di autenticazione,), attestando che una particolare identità digitale appartiene alla persona a cui tale identità è stata assegnata; inoltre, è stato pensato per risultare conforme agli schemi di certificazione previsti dal “Cybersecurity Act”, il regolamento in vigore dal 2019 che mira a rafforzare la sicurezza informatica dei prodotti ICT e dei servizi digitali in Europa tramite specifici meccanismi di certificazione.
Questa evoluzione normativa, che dovrebbe fare ulteriore chiarezza sulle identità digitali, impatterà sui cosiddetti servizi fiduciari online, che sono al centro sia di eIDAS sia di eIDAS2. Una definizione di “servizio fiduciario”, infatti, è presente nel regolamento eIDAS (art. 6, punto 16), e lo inquadra come
Un servizio elettronico, (costituito da) […] i seguenti elementi:
- creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi;
- creazione, verifica e convalida di certificati di autenticazione di siti Web;
- conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.
I servizi fiduciari e la Direttiva NIS 2
La definizione di servizi fiduciari è stata poi ripresa anche da un altro importante filone legislativo, quello delle Direttive NIS (1 e 2), che si occupano di sicurezza delle reti e dei sistemi informativi nell’Unione. Queste Direttive prevedono che tutti i soggetti che operano in specifici settori ritenuti essenziali per i paesi membri – gli Operatori di Servizi Essenziali (OSE) e i Fornitori di Servizi Digitali (FSD) – innalzino e uniformino i loro livelli di sicurezza: da un lato affidandosi a fornitori certificati per le proprie architetture digitali, dall’altro sottostando a precisi obblighi di notifica in caso di incidenti o attacchi informatici.
In particolare, la cosiddetta Direttiva NIS 2 (o Direttiva UE 2022/2555) aggiunge all’elenco dei soggetti già inclusi nella sua precedente versione (Direttiva NIS 1 del 2016, adottata in Italia con il D.L. n.65 del 18 maggio 2018) proprio quegli stessi prestatori di servizi fiduciari definiti dal regolamento eIDAS.
Qualora fosse approvata l’attuale proposta di modifica del Parlamento Europeo al regolamento eIDAS 2, alla definizione di “servizio fiduciario” si aggiungerebbero anche altri servizi, cioè:
- archiviazione elettronica di documenti elettronici;
- gestione di dispositivi per la creazione di firme elettroniche e sigilli elettronici a distanza;
- registrazione di dati elettronici in un registro elettronico.
L’aggiunta di nuovi servizi all’elenco di quelli già considerati come “fiduciari” estenderebbe pertanto anche l’ambito di applicazione della Direttiva NIS 2, andando ad ampliare il bacino dei soggetti tenuti a innalzare e rivedere i propri standard di cybersecurity e a rispettare stringenti obblighi di segnalazione in caso di incidente. Tutti questi servizi, in altre parole, dovranno rispettare specifici standard di cybersecurity (richiesti dalle Direttive NIS) per gestire i rischi di sicurezza informatica e ridurre gli eventuali impatti che si potrebbero avere su cittadini e imprese.
eIDAS 2 e NIS 2: i binari legislativi su corre la sfida dell’Identità Digitale in Europa
Dunque, se, da un lato, il regolamento eIDAS 2 rappresenta un importante passo avanti per garantire un’identità digitale europea affidabile, interoperabile e capace di diffondersi nel territorio dell’Unione. Dall’altro, la Direttiva NIS 2, accoglie i servizi fiduciari (oggetto su cui detta regole eIDAS) tra le infrastrutture di rete dell’Unione e richiede di incrementare i livelli di cybersecurity con cui vengono gestite.
L’Unione Europea sta quindi lavorando molto su identità digitale e sicurezza informatica, con strumenti diversi che tra loro si richiamano, si intrecciano e richiedono capacità di governo e di lettura di scenari attuali e prospettici. La sfida per normare un’identità digitale sicura sta nella convergenza di questi percorsi regolamentari, che si ispirano alla volontà di facilitare l’accesso a servizi pubblici e privati e alla necessità di aumentare la sicurezza nelle transazioni online.